Title: bitcointalk.org был взломан Post by: ArsenShnurkov on October 07, 2013, 10:19:46 AM Quote from: noreply@bitcointalk.org -----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 Unfortunately, it was recently discovered that the Bitcoin Forum's server was compromised. It is currently believed that the attacker(s) *could* have accessed the database, but at this time it is unknown whether they actually did so. If they accessed the database, they would have had access to all personal messages, emails, and password hashes. To be safe, it is recommended that all Bitcoin Forum users consider any password used on the Bitcoin Forum in 2013 to be insecure: if you used this password on a different site, change it. When the Bitcoin Forum returns, change your password. Passwords on the Bitcoin Forum are hashed with 7500 rounds of sha256crypt. This is very strong. It may take years for reasonably-strong passwords to be cracked. Even so, it is best to assume that the attacker will be able to crack your passwords. The Bitcoin Forum will return within the next several days after a full investigation has been conducted and we are sure that this problem cannot recur. Check http://www.reddit.com/r/Bitcoin/ and #bitcoin on Freenode for more info as it develops. We apologize for the inconvenience. -----BEGIN PGP SIGNATURE----- iF4EAREIAAYFAlJNCE8ACgkQxlVWk9q1kecABgD9H5sbb0DopdLsODAmv6LWmIaW kgfyYTlh8GezYbYx7c8A/iTh0/DCwaXuNKK/qUWpewR/L6HEOuAqa/ML1D+K9mZc =1NYs -----END PGP SIGNATURE----- Title: Re: bitcointalk.org был взломан Post by: bitcoincigs on October 07, 2013, 10:25:15 AM я так понимаю, это, уже не новость...
Title: Re: bitcointalk.org был взломан Post by: r1ost on October 07, 2013, 10:30:16 AM Так что именно случилось,все же .
Title: Re: bitcointalk.org был взломан Post by: awoland on October 07, 2013, 10:32:52 AM Произвели инжекцию кода с использованием уязвимости modNews в SMF, загрузив .php через аватары ... В результате дефейс и угон базы.
Title: Re: bitcointalk.org был взломан Post by: tvv on October 07, 2013, 12:06:57 PM А почему об этом стало известно?
Не могли по-тихому угнать чтоли?.. Title: Re: bitcointalk.org был взломан Post by: bitok on October 07, 2013, 01:18:57 PM А кто получил призовые 50 btc?
Title: Re: bitcointalk.org был взломан Post by: LuciferUA on October 07, 2013, 01:40:46 PM Базу уже выложили или еще нет?
Title: Re: bitcointalk.org был взломан Post by: Vicus on October 07, 2013, 01:54:17 PM Произвели инжекцию кода с использованием уязвимости modNews в SMF, загрузив .php через аватары ... В результате дефейс и угон базы. Что-то все в кучу смешали... Запуск php-кода в аватарах обеспечила некорректная настройка nginx + fastcgi php (cgi.fix_pathinfo=1 по дефолту в php.ini), а сами аватарки, которые пройдут проверку валидатора можно скрафтить и так.Title: Re: bitcointalk.org был взломан Post by: Xtc on October 07, 2013, 02:50:55 PM Quote Что-то все в кучу смешали... Запуск php-кода в аватарах обеспечила некорректная настройка nginx + fastcgi php (cgi.fix_pathinfo=1 по дефолту в php.ini), а сами аватарки, которые пройдут проверку валидатора можно скрафтить и так. Так это сделал ты? :)Title: Re: bitcointalk.org был взломан Post by: awoland on October 07, 2013, 04:36:37 PM Что-то все в кучу смешали... Запуск php-кода в аватарах обеспечила некорректная настройка nginx + fastcgi php (cgi.fix_pathinfo=1 по дефолту в php.ini), а сами аватарки, которые пройдут проверку валидатора можно скрафтить и так. Уж не знаю чего там у них в nginx было, но вот здесь (http://www.reddit.com/r/Bitcoin/comments/1nmdq4/bitcointalk_hacked/) Theymos сам писал сразу после взлома форума (в то время пока он лежал):Quote Here's what I know: The attacker injected some code into $modSettings['news'] (the news at the top of pages). Updating news is normally logged, but this action was not logged, so the update was probably done in some roundabout way, not by compromising an admin account or otherwise "legitimately" making the change. Probably, part of SMF related to news-updating or modSettings is flawed. Possibly, the attacker was somehow able to modify the modSettings cache in /tmp or the database directly. Вот как то так от самого хозяина информация, из первых рук ...Also, the attacker was able to upload a PHP script and some other files to the avatars directory. Title: Re: bitcointalk.org был взломан Post by: Vicus on October 07, 2013, 05:31:20 PM А у меня можно подумать из 10-ых. Я общался с ним в IRC, там он и рассказал, как оно было. А в первоначальном посте просто факт, что добавили код в секцию news, а как он туда попал, он еще не знает... В конце он как раз и говорит, что залили шелл в директорию avatars, именно туда, куда был слит начальный загрузчик в виде аватарки. Просто на тот момент он еще не знал как.
Title: Re: bitcointalk.org был взломан Post by: Vicus on October 07, 2013, 05:32:28 PM Quote Что-то все в кучу смешали... Запуск php-кода в аватарах обеспечила некорректная настройка nginx + fastcgi php (cgi.fix_pathinfo=1 по дефолту в php.ini), а сами аватарки, которые пройдут проверку валидатора можно скрафтить и так. Так это сделал ты? :)Title: Re: bitcointalk.org был взломан Post by: awoland on October 07, 2013, 05:41:33 PM В конце он как раз и говорит, что залили шелл в директорию avatars, именно туда, куда был слит начальный загрузчик в виде аватарки. Просто на тот момент он еще не знал как. так и я о том же вещал в 4 посте :)Title: Re: bitcointalk.org был взломан Post by: Vicus on October 07, 2013, 05:43:38 PM В конце он как раз и говорит, что залили шелл в директорию avatars, именно туда, куда был слит начальный загрузчик в виде аватарки. Просто на тот момент он еще не знал как. так и я о том же вещал в 4 посте :)Quote Произвели инжекцию кода с использованием уязвимости modNews в SMF Не было никакой уязвимости modNews в SMFTitle: Re: bitcointalk.org был взломан Post by: awoland on October 07, 2013, 07:58:45 PM Возможно здесь я неправильно понял . Признаю ...
Title: Re: bitcointalk.org был взломан Post by: UserCoin on October 11, 2013, 07:20:40 PM Какая угроза от взлома конечному смертному пользователю?
Title: Re: bitcointalk.org был взломан Post by: rPman on October 11, 2013, 07:51:03 PM Какая угроза от взлома конечному смертному пользователю? в данном случае злоумышленник имел возможность скопировать базу или сессии авторизованных пользователей форума (ВСЕХ!), получив по желанию фактически полный доступ к аккаунту любого пользователя, т.е. возможность читать и ПИСАТЬ приватные сообщения, публиковать посты и т.п.Опасность? к примеру злонамеренные или фальшивые публичные сообщения каких либо компаний или организаций, редактирование их старых сообщений (например подмена адреса сбора bitcoin коллективных покупок), в общем фишинг в квадрате. А так как на форуме никто даже не пытается пользоваться GPG или хотя бы подписью приватным ключом bitcoin (особенно это было бы замечательно, если бы это было на автомате, в т.ч. со стороны форума) то подмену или выдача фиктивной информации может быть обнаружена не сразу. Title: Re: bitcointalk.org был взломан Post by: tvv on October 11, 2013, 08:03:12 PM Типа фринет рулит? ;)
PS кстати, его до ума-то довели? |